Ajánlás: A Windows Sandbox engedélyezése (és mi ez).
A Windows Sandbox egy izolált, ideiglenes asztali környezet, ahol megbízhatatlan szoftvereket futtathat, anélkül, hogy attól tartana, hogy a számítógép rosszindulatúan kitett. A Windows Sandbox most támogatja azokat az egyszerű konfigurációs fájlokat (.wsb kiterjesztés), amelyek minimális szkript támogatást nyújtanak. Ezt a funkciót a legújabb 18342-es Windows verzióban használhatja.
A Windows homokozóba telepített bármely szoftver csak a homokozóban marad, és nem érinti a készüléket. Amint bezárja a Windows Sandbox alkalmazást, az összes telepített szoftver, annak fájljaival és állapotával véglegesen törlődik.
A Windows Sandbox a következő tulajdonságokkal rendelkezik:
- Windows rész - A Windows 10 Pro és az Enterprise alapértelmezés szerint mindent tartalmaz, amely ehhez a szolgáltatáshoz szükséges. Nem kell letöltenie a VHD-t!
- tisztaság - minden alkalommal, amikor a Windows Sandbox elindul, ugyanolyan tiszta, mint a Windows 10 új telepítése.
- eldobható - semmi nem kerül mentésre az eszközön; az alkalmazás bezárása után minden törlődik
- biztonságos - hardver virtualizációt használ a kernel elkülönítéséhez, amely a Microsoft hipervizort használja egy külön kernel futtatásához, amely elkülöníti a Windows Sandboxot a gazdagépről
- hatékony - integrált kernel ütemezőt, intelligens memóriakezelést és virtuális GPU-t használ
Windows Sandbox konfigurációs fájlok.
A homokozó konfigurációs fájlok XML formátumban vannak, és a .wsb kiterjesztésű homokozó fájlhoz vannak társítva. A konfigurációs fájl lehetővé teszi a felhasználó számára a Windows Sandbox következő aspektusainak ellenőrzését:
- vGPU (virtualizált grafikus processzor)
- A virtualizált GPU engedélyezése vagy letiltása. Ha a vGPU le van tiltva, akkor a Sandbox a WARP-t (szoftver raszterizáló) fogja használni..
- hálózat
- Engedélyezze vagy tiltsa le a hálózati hozzáférést a homokozóhoz.
- Megosztott mappák
- Ossza meg a mappákat a gazdagépről (a számítógépről) olvasási vagy írási engedélyekkel. Felhívjuk figyelmét, hogy a host könyvtárak kibővítése lehetővé teheti a rosszindulatú programoknak a rendszer befolyásolását vagy az adatok ellopását..
- A szkript fut
- Automatikus művelet a homokozóba való belépés után.
Támogatott konfigurációs lehetőségek
VGpu
Engedélyezi vagy letiltja a GPU-megosztást.
érték
Támogatott értékek:
letiltása - tiltsa le a vGPU támogatást a homokozóban. Ha ez az érték be van állítva, akkor a szoftver megjelenítését használja, amely lassabb lehet, mint egy virtualizált GPU.
Alapértelmezett - ez a vGPU támogatás alapértelmezett értéke; ez azt jelenti, hogy a vGPU engedélyezve van.
Megjegyzés: A virtualizált GPU engedélyezése fokozhatja a külső homokozó támadást.
hálózat
Engedélyezi vagy letiltja a hálózatot a homokozóban. A hálózati hozzáférés letiltásával csökkenthető a homokozó támadás esélye..
értékTámogatott értékek:
letiltása - tiltsa le a hálózatot a homokozóban.
Alapértelmezett - ez a hálózati támogatás alapértelmezett értéke. Hálózatokat hozhat létre úgy, hogy virtuális kapcsolót hoz létre a gazdagépen, és virtuális hálózati adapteren keresztül csatlakozik hozzá egy izolált szoftverkörnyezethez.
Megjegyzés: A hálózati kapcsolatok engedélyezése miatt megbízhatatlan alkalmazások kerülhetnek a belső hálózatba..
MappedFolders
Bekeríti a MappedFolder objektumok listáját.
a MappedFolder objektumok listája
Megjegyzés: A gazdagéphez társított fájlokat és mappákat a homokozóban lévő alkalmazások veszélyeztethetik, vagy potenciálisan befolyásolhatják a gazdagépet.
MappedFolder
Egyetlen mappát határoz meg a gazdagépen, amelyet meg fog osztani a tároló asztalán. A homokdobozban lévő alkalmazások a "WDAGUtilityAccount" felhasználói fiók alatt futnak. Ezért az összes mappa a következő útvonalon jelenik meg: C: \ Users \ WDAGUtilityAccount \ Desktop.
Például a "C: \ Test" felirat jelenik meg: "C: \ felhasználók \ WDAGUtilityAccount \ Desktop \ Test".
gazda mappa elérési útja
HostFolder: meghatározza azt a mappát a gazdagépen, amelyet meg kell osztani a homokozóban. Felhívjuk figyelmét, hogy a mappának már létezik, a tároló nem indul el, ha a mappát nem találja.
ReadOnly: értéken igaz a tárolóból csak olvasható hozzáférést biztosít a megosztott mappához. Támogatott értékek: igaz / hamis.
Megjegyzés: A gazdagéphez társított fájlokat és mappákat a homokozóban lévő alkalmazások veszélyeztethetik, vagy potenciálisan befolyásolhatják a gazdagépet.
LogonCommand
Megad egy parancsot, amelyet automatikusan meghívnak a tároló belépése után.
parancs felhívni
csapat: A tárolóban lévő végrehajtható fájl vagy szkript elérési útja, amelyet a bejelentkezés után hajtanak végre.
Megjegyzés: Bár nagyon egyszerű parancsok fognak működni (futtatható fájl vagy szkript futtatása), a bonyolultabb szkripteket, több lépéssel együtt, be kell helyezni a szkriptfájlba. Ezt a szkriptfájlt egy megosztott mappán keresztül tárolóra lehet leképezni, majd a LogonCommand irányelv segítségével végrehajtani.
Hozzon létre konfigurációs fájlt
Hozzon létre egy új szöveges fájlt a kiterjesztéssel .WSB és másoljon bele egy példát.
Kattintson duplán a létrehozott fájlra * .wsb kinyitja az ablakok homokozójában.
Példa konfigurációs fájlra - 1.
A következő konfigurációs fájl használható a letöltött fájlok könnyű tesztelésére a homokozóban. Ehhez a szkript letiltja a hálózatot és a vGPU-t, és a tárolóban a megosztott Letöltések mappát csak olvasható hozzáférésre korlátozza. A kényelem kedvéért a bejelentkezési parancs indításkor megnyitja a tárolóban található letöltési mappát.
Downloads.wsb
letiltása
letiltása
C: \ Felhasználók \ Nyilvános \ Letöltések
igaz
explorer.exe C: \ felhasználók \ WDAGUtilityAccount \ Desktop \ Letöltések
Példa konfigurációs fájlra - 2.
A következő konfigurációs fájl telepíti a Visual Studio kódot egy tárolóba, amelyhez a LogonCommand kissé bonyolultabb konfigurálása szükséges.
Két mappa jelenik meg a tárolóban; az első (SandboxScripts) a VSCodeInstall.cmd-t tartalmazza, amely telepíti és futtatja a VSCode-t. Feltételezzük, hogy a második mappa (CodingProjects) projektfájlokat tartalmaz, amelyeket a fejlesztő a VSCode segítségével módosítani akar..
A VSCode telepítő szkriptjével, amelyet már egy tárolóra leképeztek, a LogonCommand hivatkozhat rá.
VSCodeInstall.cmd
REM letöltése VSCode
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" - C kimenet: \ felhasználók \ WDAGUtilityAccount \ Desktop \ vscode.exe
REM Telepítse és futtassa a VSCode-t
C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxesVSCode.wsb
C: \ SandboxScripts
igaz
C: \ CodingProjects
hamis
C: \ felhasználók \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
Most csak kattintson duplán a Text.wsb fájlra, és indítsa el a Windows Sandbox alkalmazást. Ennek előnye, hogy több konfigurációt is létrehozhat a homokozó futtatásának módjára. Valójában nagyon praktikus. Csak remélni lehet, hogy a Microsoft ezután idővel kibővíti a konfigurációs fájl képességeit.